云服务和移动终端的发展催生了虚拟化技术，虚拟化技术目前已经从虚拟层面上分成了硬件虚拟化、系统虚拟化、应用虚拟化等多种类型，企业实际应用中为了移动终端的接入很多引入了应用虚拟化技术。在这几类虚拟化技术中，很多提供虚拟化技术的厂商耳熟能详，如Citrix、VMWare、Microsoft等。在应用虚拟化（RAP）领域，国内也出现了不少优秀的厂商，本文就以瑞友天翼的应用虚拟化系统为例讲述虚拟化应用系统中的数据防泄密方案。

　　基础知识：应用虚拟化（RAP）技术的本质是基于远程终端技术（RDP）的，因此原理上是和RDP的控制模式一样的，接入的终端原则上只使用了终端的显示设备（屏幕）和输入设备（键盘/鼠标/触控板），而数据都是在服务器（或云端）上的。应用的运行和数据处理也都在服务器（或云端），因此对接入的网络带宽要求也很低，基于移动终端的方案可以通过移动网络商用化。

　　瑞友天翼应用虚拟化系统（GWT System）是基于服务器计算的应用虚拟化平台。它将用户所有应用软件（ERP、OA、CRM、PDM、CAD……）集中部署在天翼服务器（群）上，客户端通过WEB即可快速安全的访问经服务器上授权的应用软件，实现集中应用、远程接入、协同办公等，从而为用户打造集中、便捷、安全、高效的虚拟化支撑平台。

　　瑞友天翼的虚拟化系统实现了应用的集中和访问的便利和多元，而数据的安全以及访问控制则交由加密系统来完成。secWalll 加密系统能无缝嵌入现有的瑞友天翼部署之中，所做的仅仅是两步。

　　1. 在架构上添加一台secWall服务器，称之为“secWall集控服务器”，集中管理加密用户、权限和加密策略。

　　2. 在瑞友天翼的服务器（群）上安装“secWall企业版客户端”软件，通过登陆到secWall集控服务管理器获得加密证书，从而可以正常使用加密文件。

　　集控服务器在发放加密证书给客户端的同时会把加密策略同时推送给客户端，客户端按照加密策略的定义约束客户端的行为。
　　瑞友天翼服务器（群）上的敏感数据事先被加密，以保证自身的安全。当瑞友天翼客户端登录进服务器，一旦接触加密数据时即受secWall控制，涉密的数据不能存到本地也不能存到网络，若存到瑞友天翼服务器上，则数据被加密。
　　数据服务器上的敏感数据可以跟上面一样加密，也可以选择不加密，选择不加密而又能获得安全的前提是数据服务器自身的安全有保障，将数据服务器设为“可信安全区域”，并设置“连接涉密”属性，这样设置好之后，上传到服务器的数据是解密的，而从服务器下来的数据自动加密。

　　以上方案是根据瑞友天翼已有的拓扑结构进行无缝嵌入，如果局域网或者外网计算机有数据存储要求的，那只需在有要求的计算机上安装secWall客户端，通过加密系统来控制数据安全以及安全交互。